Книга рассматривает практические аспекты реагирования на инциденты информационной безопасности и анализа киберугроз. Подробно изложена теория исследования угроз, рассмотрены основы аналитической деятельности специалиста по информационной безопасности, описаны протоколы реагирования на инциденты на основе аналитических данных (Intelligence-Driven Incident Response, IDIR). Наглядно с практическими примерами рассматривается модель F3EAD — Поиск, Фиксация, Завершение, Эксплойт, Анализ и Распространение (Find, Fix, Finish, Exploit, Analyze, and Disseminate). Уделено внимание стратегической аналитической деятельности и построению эффективной команды аналитиков.
В случае нарушения безопасности хорошо продуманный план реагирования на инциденты позволит вам выявить злоумышленников и узнать, как они действуют. Но только если вы подходите к этой задаче с позиции анализа киберугроз, вы сможете по-настоящему понять ценность собранной информации. В обновленном втором издании рассказывается об основах аналитики безопасности, а также о том, как лучше всего использовать ее методы при реагировании на инциденты.
Описанные в книге технологии усиливают друг друга: анализ угроз поддерживает и дополняет реагирование на инциденты, а реагирование на инциденты формирует полезную информацию для анализа угроз. Это практическое руководство поможет специалистам по информационной безопасности, аналитикам вредоносного ПО, экспертам по реверс-инжинирингу, специалистам по цифровой криминалистике, аналитикам безопасности и их руководителям максимально использовать такую взаимосвязь.
Книга, состоящая из трех частей, включает в себя:
- Основы: вы узнаете, что такое исследование киберугроз, аналитическая деятельность, процесс реагирования на инциденты и как эти компоненты работают вместе.
- Практическое применение: вы изучите процесс реагирования на инциденты на основе аналитических данных (Intelligence-Driven Incident Response, IDIR), выполняя операции F3EAD — Поиск, Фиксация, Завершение, Эксплойт, Анализ и Распространение (Find, Fix, Finish, Exploit, Analyze, and Disseminate).
- Направление развития: вы изучите масштабные аспекты IDIR, выходящие за рамки отдельных расследований инцидентов, включая стратегическую аналитическую деятельность и построение команды аналитиков угроз безопасности.
Отзывы о книге……………………………………………………………………………………… 13
Предисловие ко второму изданию………………………………………………………….. 15
Предисловие к первому изданию……………………………………………………………. 18
Введение………………………………………………………………………………………………… 21
Почему мы написали эту книгу………………………………………………………………………………………………… 21
Для кого эта книга……………………………………………………………………………………………………………………… 22
Как организована эта книга……………………………………………………………………………………………………… 22
Условные обозначения, используемые в книге……………………………………………………………………….. 23
Онлайн-обучение O’Reilly…………………………………………………………………………………………………………. 23
Наши контакты………………………………………………………………………………………………………………………….. 23
Благодарности…………………………………………………………………………………………………………………………… 24
Часть I. Основы……………………………………………………………………………….. 27
Глава 1. Введение…………………………………………………………………………………… 29
Аналитическая деятельность как часть реагирования на инциденты………………………………….. 29
История разведки киберугроз………………………………………………………………………………………… 30
Первое вторжение…………………………………………………………………………………………………… 30
Разрушительные атаки………………………………………………………………………………………….. 31
Moonlight Maze……………………………………………………………………………………………………….. 32
Современная разведка киберугроз……………………………………………………………………………….. 33
Путь вперед……………………………………………………………………………………………………………………… 34
Реагирование на инциденты как часть анализа……………………………………………………………………… 34
Что такое реагирование на инциденты на основе аналитических данных?………………………… 35
Зачем нужно реагирование на инциденты на основе аналитических данных?………………….. 36
Operation SMN…………………………………………………………………………………………………………………. 36
SolarWinds……………………………………………………………………………………………………………………….. 37
Заключение………………………………………………………………………………………………………………………………… 38
Глава 2. Основы аналитической деятельности………………………………………. 40
Аналитическая деятельность и исследования………………………………………………………………………… 41
Данные в противовес аналитической деятельности………………………………………………………………. 42
Источники и методы………………………………………………………………………………………………………………….. 43
Модели……………………………………………………………………………………………………………………………………….. 46
Использование моделей для совместной работы………………………………………………………… 47
Модели процессов………………………………………………………………………………………………………….. 47
OODA……………………………………………………………………………………………………………………….. 48
Цикл аналитической деятельности………………………………………………………………………. 50
Использование цикла аналитической деятельности…………………………………………………… 55
Качества хорошей аналитической деятельности…………………………………………………………………… 57
Метод сбора……………………………………………………………………………………………………………………. 57
Дата сбора………………………………………………………………………………………………………………………. 57
Контекст………………………………………………………………………………………………………………………….. 57
Устранение предубеждений в анализе…………………………………………………………………………. 57
Уровни аналитической деятельности………………………………………………………………………………………. 58
Тактическая аналитическая деятельность…………………………………………………………………… 58
Оперативная аналитическая деятельность………………………………………………………………….. 59
Стратегическая аналитическая деятельность……………………………………………………………… 59
Уровни уверенности………………………………………………………………………………………………………………….. 60
Заключение………………………………………………………………………………………………………………………………… 61
Глава 3. Основы реагирования на инциденты……………………………………….. 62
Цикл “инцидент-реагирование”………………………………………………………………………………………………… 62
Подготовка………………………………………………………………………………………………………………………. 63
Идентификация……………………………………………………………………………………………………………….. 65
Сдерживание…………………………………………………………………………………………………………………… 66
Устранение……………………………………………………………………………………………………………………… 66
Восстановление………………………………………………………………………………………………………………. 68
Выводы……………………………………………………………………………………………………………………………. 69
Kill chain………………………………………………………………………………………………………………………………………. 71
Нацеливание…………………………………………………………………………………………………………………… 72
Разведка…………………………………………………………………………………………………………………………… 73
Жесткие и мягкие данные………………………………………………………………………………………. 73
Активные и пассивные методы сбора информации…………………………………………….. 73
Вепонизация……………………………………………………………………………………………………………………. 74
Охота за уязвимостями………………………………………………………………………………………….. 75
Создание эксплойта……………………………………………………………………………………………….. 76
Разработка импланта…………………………………………………………………………………………….. 76
Тестирование………………………………………………………………………………………………………….. 77
Разработка инфраструктуры………………………………………………………………………………… 78
Доставка………………………………………………………………………………………………………………………….. 79
Использование уязвимости……………………………………………………………………………………………. 80
Установка………………………………………………………………………………………………………………………… 81
Устойчивость системы…………………………………………………………………………………………… 81
Устойчивость сети………………………………………………………………………………………………….. 82
Управление и контроль………………………………………………………………………………………………….. 82
Действия над целью……………………………………………………………………………………………………….. 83
Пример kill chain……………………………………………………………………………………………………………… 86
Алмазная модель……………………………………………………………………………………………………………………….. 87
Базовая модель……………………………………………………………………………………………………………….. 88
Расширение модели………………………………………………………………………………………………………… 88
ATT&CK и D3FEND…………………………………………………………………………………………………………………… 89
ATT&CK………………………………………………………………………………………………………………………….. 89
D3FEND……………………………………………………………………………………………………………………………. 91
Активная защита………………………………………………………………………………………………………………………… 91
Отказ………………………………………………………………………………………………………………………………… 93
Нарушение………………………………………………………………………………………………………………………. 93
Деградация……………………………………………………………………………………………………………………… 93
Обман………………………………………………………………………………………………………………………………. 94
Уничтожение…………………………………………………………………………………………………………………… 94
F3EAD…………………………………………………………………………………………………………………………………………. 95
Поиск……………………………………………………………………………………………………………………………….. 96
Фиксация…………………………………………………………………………………………………………………………. 96
Завершение……………………………………………………………………………………………………………………… 96
Эксплойт………………………………………………………………………………………………………………………….. 96
Анализ……………………………………………………………………………………………………………………………… 97
Распространение…………………………………………………………………………………………………………….. 97
Использование F3EAD……………………………………………………………………………………………………. 98
Выбор правильной модели……………………………………………………………………………………………………….. 99
Сценарий: Road Runner…………………………………………………………………………………………………………….. 99
Заключение………………………………………………………………………………………………………………………………. 101
Часть II. Практическое применение…………………………………….. 103
Глава 4. Поиск……………………………………………………………………………………… 105
Ориентирование на субъекта…………………………………………………………………………………………………. 106
Начните с известной информации………………………………………………………………………………. 107
Полезная информация на этапе поиска……………………………………………………………………… 107
Индикаторы компрометации………………………………………………………………………………. 109
Поведение……………………………………………………………………………………………………………… 109
Использование Kill chain………………………………………………………………………………………………. 110
Road Runner: построение начальной kill chain………………………………………………….. 110
Road Runner: разработка kill chain…………………………………………………………………….. 112
Цели……………………………………………………………………………………………………………………………….. 113
Ориентирование на жертву…………………………………………………………………………………………………….. 114
Использование целеуказания, ориентированного на жертву…………………………………… 115
Связь между жертвой и инфраструктурой…………………………………………………………. 115
Связь между жертвой и возможностью………………………………………………………………. 116
Связь между жертвой и противником…………………………………………………………………. 116
Ориентация на активы…………………………………………………………………………………………………………….. 117
Использование целеуказания, ориентированного на активы…………………………………… 118
Ориентация на возможности…………………………………………………………………………………………………… 118
Использование целеуказания, ориентированного на возможности………………………… 119
Ориентация на СМИ………………………………………………………………………………………………………………… 120
Ориентация на уведомления третьих лиц……………………………………………………………………………… 121
Определение приоритетов целеуказания………………………………………………………………………………. 122
Неотложные потребности……………………………………………………………………………………………. 122
Предыдущие инциденты………………………………………………………………………………………………. 123
Критичность………………………………………………………………………………………………………………….. 123
Организация деятельности по целеуказанию……………………………………………………………………….. 124
Жесткие зацепки…………………………………………………………………………………………………………… 124
Мягкие зацепки……………………………………………………………………………………………………………… 124
Группировка связанных зацепок………………………………………………………………………………… 124
Хранение и документирование зацепок……………………………………………………………………… 125
Процесс запроса информации………………………………………………………………………………………………… 125
Заключение………………………………………………………………………………………………………………………………. 126
Глава 5. Фиксация……………………………………………………………………………….. 127
Обнаружение вторжений………………………………………………………………………………………………………… 128
Сетевое оповещение…………………………………………………………………………………………………….. 128
Оповещение при проведении разведки………………………………………………………………. 129
Оповещение на этапе доставки…………………………………………………………………………… 130
Оповещение об управлении и контроле…………………………………………………………….. 131
Оповещение о воздействии………………………………………………………………………………….. 134
Системное оповещение………………………………………………………………………………………………… 135
Предупреждение об эксплуатации уязвимости…………………………………………………. 136
Оповещение при установке…………………………………………………………………………………. 136
Оповещение при воздействии……………………………………………………………………………… 137
Фиксация Road Runner…………………………………………………………………………………………………. 138
Сетевая активность………………………………………………………………………………………………. 138
Расследование вторжений………………………………………………………………………………………………………. 139
Анализ сети…………………………………………………………………………………………………………………… 140
Анализ трафика……………………………………………………………………………………………………. 140
Анализ на основе сигнатур…………………………………………………………………………………. 143
Анализ всего содержимого………………………………………………………………………………….. 145
Узнайте больше……………………………………………………………………………………………………. 147
Реагирование в реальном времени……………………………………………………………………………… 147
Анализ памяти………………………………………………………………………………………………………………. 149
Анализ диска…………………………………………………………………………………………………………………. 150
Аналитическая деятельность при анализе дисков……………………………………………. 151
Сбор данных при анализе дисков………………………………………………………………………. 151
Обнаружение и реагирование на уровне предприятия…………………………………………….. 151
Анализ вредоносного ПО…………………………………………………………………………………………….. 153
Базовый статический анализ………………………………………………………………………………. 153
Базовый динамический анализ…………………………………………………………………………… 154
Продвинутый статический анализ……………………………………………………………………… 155
Применение аналитической деятельности для анализа вредоносного ПО…….. 156
Сбор данных при анализе вредоносного ПО…………………………………………………….. 156
Узнайте больше об анализе вредоносного ПО………………………………………………….. 157
Обзор…………………………………………………………………………………………………………………………………………. 157
Охота………………………………………………………………………………………………………………………………………… 158
Разработка гипотез………………………………………………………………………………………………………. 158
Проверка гипотез………………………………………………………………………………………………………….. 159
Заключение………………………………………………………………………………………………………………………………. 159
Глава 6. Завершение…………………………………………………………………………….. 160
Завершить — не значит взламывать в ответ…………………………………………………………………………. 160
Этапы “Завершения”……………………………………………………………………………………………………………….. 161
Смягчение последствий……………………………………………………………………………………………….. 162
Смягчение последствий доставки……………………………………………………………………….. 162
Смягчение последствий управления и контроля……………………………………………….. 162
Смягчение последствий действий над целью…………………………………………………….. 163
Смягчение последствий Road Runner…………………………………………………………………. 164
Исправление………………………………………………………………………………………………………………….. 165
Исправление последствий эксплуатации уязвимости………………………………………. 165
Исправление последствий установки…………………………………………………………………. 166
Исправление действий над целью………………………………………………………………………. 167
Исправление последствий Road Runner…………………………………………………………….. 168
Перестройка архитектуры…………………………………………………………………………………………… 169
Перестройка архитектуры в связи с Road Runner…………………………………………….. 169
Принятие мер……………………………………………………………………………………………………………………………. 170
Отказ………………………………………………………………………………………………………………………………. 170
Нарушение……………………………………………………………………………………………………………………. 171
Деградация……………………………………………………………………………………………………………………. 172
Обман…………………………………………………………………………………………………………………………….. 172
Уничтожение…………………………………………………………………………………………………………………. 173
Систематизация данных об инцидентах……………………………………………………………………………….. 173
Инструменты для отслеживания действий…………………………………………………………………. 174
Личные заметки……………………………………………………………………………………………………. 174
Электронная таблица судьбы…………………………………………………………………………….. 175
Сторонние, нецелевые решения………………………………………………………………………….. 176
Специально разработанные инструменты………………………………………………………………… 176
Оценка ущерба…………………………………………………………………………………………………………………………. 178
Жизненный цикл отслеживания……………………………………………………………………………………………… 178
Создание……………………………………………………………………………………………………………………….. 178
Тестирование………………………………………………………………………………………………………………… 179
Развертывание………………………………………………………………………………………………………………. 179
Доработка……………………………………………………………………………………………………………………… 179
Вывод из эксплуатации……………………………………………………………………………………………….. 180
Заключение………………………………………………………………………………………………………………………………. 180
Глава 7. Эксплойт………………………………………………………………………………… 181
Тактические и стратегические петли OODA………………………………………………………………………….. 182
Как быть с этапом “Эксплойт”?……………………………………………………………………………………………… 183
Сбор информации……………………………………………………………………………………………………………………. 185
Цели сбора информации………………………………………………………………………………………………. 186
Использование предыдущих инцидентов…………………………………………………………………… 186
Сбор внешней информации (или проведение обзора литературы)…………………………. 187
Извлечение и хранение данных об угрозах…………………………………………………………………………… 188
Стандарты хранения данных об угрозах…………………………………………………………………… 188
Стандарты и форматы данных для индикаторов……………………………………………………… 188
Набор OASIS (он же STIX/TAXII)………………………………………………………………………. 189
Рабочая группа MILE………………………………………………………………………………………….. 190
OpenIOC………………………………………………………………………………………………………………… 191
Стандарты и форматы данных для стратегической информации…………………………… 192
ATT&CK………………………………………………………………………………………………………………… 192
VERIS…………………………………………………………………………………………………………………….. 193
CAPEC…………………………………………………………………………………………………………………… 194
Процесс извлечения……………………………………………………………………………………………………… 194
Шаг 1: Определите свои цели……………………………………………………………………………… 194
Шаг 2: Определите свои инструменты……………………………………………………………….. 195
Шаг 3: Определите систему или процесс, который будет использоваться…….. 195
Шаг 4: Запуск и итерации……………………………………………………………………………………. 196
Управление информацией………………………………………………………………………………………………………. 196
Платформы анализа угроз…………………………………………………………………………………………… 197
TIP………………………………………………………………………………………………………………………….. 198
MISP………………………………………………………………………………………………………………………. 198
CRITs…………………………………………………………………………………………………………………….. 198
YETI………………………………………………………………………………………………………………………. 198
Коммерческие решения……………………………………………………………………………………….. 199
Заключение………………………………………………………………………………………………………………………………. 199
Глава 8. Анализ……………………………………………………………………………………. 200
Основы анализа……………………………………………………………………………………………………………………….. 200
Двойственный процесс мышления………………………………………………………………………………. 201
Дедуктивные, индуктивные и абдуктивные рассуждения………………………………………… 202
Дедуктивные рассуждения………………………………………………………………………………….. 203
Индуктивные рассуждения………………………………………………………………………………….. 203
Абдуктивные рассуждения………………………………………………………………………………….. 204
Зачем рассуждать о рассуждениях?………………………………………………………………….. 205
Аналитические процессы и методы……………………………………………………………………………………….. 206
Структурированные аналитические методы (SAT)…………………………………………………… 206
Проверка ключевых предположений…………………………………………………………………. 209
Анализ конкурирующих гипотез………………………………………………………………………… 211
Создание, проверка и оценка индикаторов……………………………………………………….. 214
Контрарные методы…………………………………………………………………………………………….. 216
Колесо будущего………………………………………………………………………………………………….. 217
Анализ, ориентированный на цель……………………………………………………………………………… 217
Проведение анализа………………………………………………………………………………………………………………… 221
Что анализировать……………………………………………………………………………………………………….. 221
Обогащение данных…………………………………………………………………………………………………….. 223
Источники обогащения………………………………………………………………………………………… 223
Внутренняя информация об обогащении…………………………………………………………… 226
Использование возможностей обмена информацией………………………………………………… 227
Разработка гипотезы……………………………………………………………………………………………………. 228
Оценка ключевых предположений……………………………………………………………………………… 229
Аналитическая предвзятость………………………………………………………………………………………………….. 230
Учет предубеждений……………………………………………………………………………………………………. 231
Предвзятость подтверждения……………………………………………………………………………… 231
Предвзятость закрепления…………………………………………………………………………………… 231
Предвзятость в отношении доступности……………………………………………………………. 232
Эффект оркестра…………………………………………………………………………………………………… 232
Отзеркаливание……………………………………………………………………………………………………. 233
Суждения и выводы…………………………………………………………………………………………………………………. 233
Заключение………………………………………………………………………………………………………………………………. 234
Глава 9. Распространение…………………………………………………………………….. 236
Цели заказчиков аналитической деятельности…………………………………………………………………….. 237
Аудитория………………………………………………………………………………………………………………………………… 237
Заказчик-руководитель/лидер…………………………………………………………………………………….. 238
Внутренние технические заказчики……………………………………………………………………………. 240
Внешние технические заказчики…………………………………………………………………………………. 241
Разработка портретов клиентов………………………………………………………………………………….. 243
Действенность………………………………………………………………………………………………………………………….. 245
Авторы………………………………………………………………………………………………………………………………………. 247
Процесс написания………………………………………………………………………………………………………………….. 249
Планирование……………………………………………………………………………………………………………….. 249
Черновик………………………………………………………………………………………………………………………… 250
Начните с тезисов………………………………………………………………………………………………… 250
Начните с фактов…………………………………………………………………………………………………. 250
Начните с конспекта или ключевых пунктов…………………………………………………….. 250
Редактирование…………………………………………………………………………………………………………….. 251
Форматы продуктов аналитической деятельности………………………………………………………………. 253
Короткоформатные продукты…………………………………………………………………………………….. 254
Сводка событий……………………………………………………………………………………………………. 255
Целевой пакет……………………………………………………………………………………………………….. 256
Отчет IOC……………………………………………………………………………………………………………… 257
Полноформатные продукты………………………………………………………………………………………… 258
Отчет о вредоносном ПО……………………………………………………………………………………… 259
Отчет о кампании…………………………………………………………………………………………………. 262
Оценка аналитической деятельности…………………………………………………………………. 267
Процесс запроса информации (RFI)……………………………………………………………………………. 268
Запрос RFI…………………………………………………………………………………………………………….. 269
Ответ на RFI………………………………………………………………………………………………………….. 269
Пример процесса RFI…………………………………………………………………………………………… 270
Автоматизированные продукты потребления…………………………………………………………… 271
Неструктурированные и полуструктурированные IOC…………………………………… 272
Сетевые сигнатуры Snort…………………………………………………………………………………….. 272
Сигнатуры файловой системы в Yara………………………………………………………………… 274
Автоматизированные форматы IOC…………………………………………………………………… 275
Установление ритма………………………………………………………………………………………………………………… 276
Распространение………………………………………………………………………………………………………….. 276
Обратная связь……………………………………………………………………………………………………………… 277
Регулярные продукты…………………………………………………………………………………………………… 278
Заключение………………………………………………………………………………………………………………………………. 278
Часть III. Путь вперед…………………………………………………………………… 281
Глава 10. Стратегическая аналитическая деятельность……………………….. 283
Что такое стратегическая аналитическая деятельность?……………………………………………………. 284
Роль стратегической аналитической деятельности в реагировании на инциденты на основе аналитических данных 286
Аналитическая деятельность за рамками реагирования на инциденты…………………………….. 287
Красная команда………………………………………………………………………………………………………….. 287
Управление уязвимостями…………………………………………………………………………………………… 289
Архитектура и инжиниринг…………………………………………………………………………………………. 289
Конфиденциальность, безопасность и физическая защита………………………………………. 290
Построение фрейма с помощью стратегической аналитической деятельности………………… 290
Модели для стратегической аналитической деятельности……………………………………… 291
Целевые модели……………………………………………………………………………………………………. 292
Цикл стратегической аналитической деятельности…………………………………………………………….. 298
Установление стратегических требований………………………………………………………………… 298
Сбор……………………………………………………………………………………………………………………………….. 299
Геополитические источники……………………………………………………………………………….. 299
Экономические источники…………………………………………………………………………………… 300
Исторические источники……………………………………………………………………………………… 301
Деловые источники………………………………………………………………………………………………. 301
Анализ……………………………………………………………………………………………………………………………. 302
Процессы анализа стратегической аналитической деятельности………………….. 302
Распространение………………………………………………………………………………………………………….. 305
Движение к упреждающей аналитической деятельности……………………………………………………. 306
Заключение………………………………………………………………………………………………………………………………. 307
Глава 11. Построение программы аналитической деятельности…………… 309
Вы готовы?……………………………………………………………………………………………………………………………….. 309
Планирование программы………………………………………………………………………………………………………. 311
Определение заинтересованных сторон…………………………………………………………………….. 312
Команда реагирования на инциденты……………………………………………………………….. 312
Центр/группа операций по обеспечению безопасности (SOC)………………………… 312
Команды по управлению уязвимостями…………………………………………………………….. 312
Красные команды / атакующие инженеры………………………………………………………… 313
Команды по обеспечению доверия и безопасности………………………………………….. 313
Руководители служб информационной безопасности (CISO)………………………….. 314
Конечные пользователи………………………………………………………………………………………. 314
Определение целей……………………………………………………………………………………………………….. 314
Определение критериев успеха…………………………………………………………………………………… 315
Определение требований и ограничений…………………………………………………………………… 316
Думайте стратегически………………………………………………………………………………………………… 317
Определение метрик…………………………………………………………………………………………………….. 317
Портреты заинтересованных лиц…………………………………………………………………………………………… 318
Тактические сценарии использования…………………………………………………………………………………… 319
Поддержка SOC…………………………………………………………………………………………………………….. 319
Инжиниринг обнаружения и оповещения………………………………………………………….. 319
Сортировка…………………………………………………………………………………………………………… 320
Ситуационная осведомленность………………………………………………………………………… 320
Управление индикаторами………………………………………………………………………………………….. 320
Управление платформой анализа угроз…………………………………………………………….. 320
Управление сторонними аналитическими данными и каналами……………………. 321
Обновление индикаторов…………………………………………………………………………………….. 321
Оперативные сценарии использования…………………………………………………………………………………. 322
Отслеживание кампании……………………………………………………………………………………………… 322
Определение направленности кампании…………………………………………………………… 323
Определение инструментов и тактик………………………………………………………………….. 323
Поддержка ответных мер…………………………………………………………………………………….. 323
Стратегические сценарии использования……………………………………………………………………………… 323
Поддержка архитектуры……………………………………………………………………………………………… 324
Улучшение защиты………………………………………………………………………………………………. 324
Сосредоточьте защиту на угрозах……………………………………………………………………… 324
Оценка рисков и стратегическая ситуационная осведомленность………………………….. 324
От стратегического к тактическому или от тактического к стратегическому?………………….. 325
Потребности в критически важной информации……………………………………………………….. 326
Команда аналитической деятельности…………………………………………………………………………………. 326
Создание разносторонней команды…………………………………………………………………………… 327
Развитие команд и процессов………………………………………………………………………………………. 328
Заключение………………………………………………………………………………………………………………………………. 329
Предметный указатель…………………………………………………………………………. 331
Об авторах……………………………………………………………………………………………. 334
Об изображении на обложке………………………………………………………………… 335
